Synology – 3 méthodes pour accéder à mon NAS de l’extérieur : QuickConnect, DDNS et VPN

Aujourd’hui, nous vous proposons de découvrir 3 méthodes de connexions pour accéder à son NAS Synology depuis l’extérieur. En effet, avoir un NAS à la maison c’est bien… mais pouvoir accéder aux données et applications depuis n’importe où, c’est encore mieux. Nous allons vous proposer 3 méthodes : de la plus simple à la plus compliquée… en expliquant les avantages et inconvénients de chacune. En bonus, à la fin de l’article, nous vous donnons plusieurs conseils de sécurité lorsque le NAS est ouvert à l’extérieur.

acces synology - Synology - 3 méthodes pour accéder à mon NAS de l'extérieur : QuickConnect, DDNS et VPN

3 méthodes d’accès à son NAS depuis Internet

Nous avons décidé de vous décrire 3 méthodes différentes avec pour objectif qu’une d’entre vous aide. Il est possible de commencer par l’une puis d’aller vers une autre sans aucun souci. Dans notre guide, nous partons du principe que le NAS est fonctionnel et qu’il a accès à Internet (ex. : il peut télécharger une application depuis le Centre de Paquets).

QuickConnect, le plus simple

Sur les NAS Synology, la méthode la plus simple : c’est l’utilisation de QuickConnect. Chez vous, connectez-vous à votre NAS. Allez dans Panneau de configuration > Accès externe, vous devriez arriver sur cet écran.

QuickConnect - Synology - 3 méthodes pour accéder à mon NAS de l'extérieur : QuickConnect, DDNS et VPN

Cochez la case Activez QuickConnect et saisissez un QuickConnect ID (un nom à votre NAS pour la connexion à distance). Appuyez sur le bouton Appliquer. Si c’est la première fois que vous utilisez ce service (et si vous n’avez pas enregistré votre NAS), un identifiant et un mot de passe seront nécessaires (création d’un compte gratuit obligatoire). C’est terminé.

QuickConnectNAS - Synology - 3 méthodes pour accéder à mon NAS de l'extérieur : QuickConnect, DDNS et VPN

Votre NAS est disponible depuis n’importe où. Il suffira de connaître son nom pour y accéder avec votre identifiant et mot de passe. Dans notre exemple ci-dessus, cachemNAS sera accessible à l’adresse QuickConnect.to/cachemNAS et cachemnas.quickconnect.to.

Notre avis

C’est la méthode la plus simple et la plus rapide. Cependant, elle est rejetée par les experts. Elle leur paraît trop simple, ce qui peut amener un risque d’activation par mégarde (ou un oubli). Aussi, elle nécessite un intermédiaire : ici Synology. Le fabricant de NAS a aussi un rôle prépondérant puisqu’il fait la liaison entre le NAS physique et l’accès à distance. Certains reprochent que les utilisateurs ne maîtrisent pas quelles données sont partagées avec Synology : adresse IP, informations de connexion, données… À la rédaction, nous partons du principe que Synology est un tiers de confiance et qu’il ne conserve que les données strictement nécessaires (cf. : déclaration de confidentialité). Aussi, certains lui reprochent des soucis de lenteur à la connexion et des débits moindres que les autres solutions (voire ci-dessous).

DDNS, le plus performant

La deuxième méthode nécessite un peu plus complexe. Le DDNS (DNS dynamique) facilite le transfert d’une adresse IP publique qui change régulièrement (celle de votre Box par exemple) vers un nom de domaine fixe. Vous pourrez acheter votre propre nom de domaine chez OVH ou Google par exemple pour quelques euros (.fr / .com / .eu…). Rassurez-vous, il est aussi tout à fait possible de passer par un service tiers gratuit comme ChangeIP.com, FreeDNS… ou encore Synology. Connectez-vous à votre NAS. Allez dans Panneau de configuration > Accès externe, puis allez sur l’onglet DDNS et appuyer sur le bouton Ajouter.

synology DDNS - Synology - 3 méthodes pour accéder à mon NAS de l'extérieur : QuickConnect, DDNS et VPN

Pensez à consulter nos précédents tutos pour vous aider :

La seconde étape est d’ouvrir votre Box/routeur pour accéder au NAS depuis l’extérieur. Pour cela, il est nécessaire de se connecter à l’interface d’administration de la Box (routeur de votre opérateur) depuis votre navigateur :

  • Chez Free : mafreebox.freebox.fr ou 192.168.0.254
  • Chez SFR : 192.168.1.1
  • Chez Orange : 192.168.1.1
  • Chez Bouygues Telecom : 192.168.1.254

Recherchez le menu Configurer les redirections ou Transfert de Ports ou encore NAT/PAT… chaque opérateur utilise un nom différent. Vous devrez y indiquer un port extérieur (WAN), un port interne (LAN) et une adresse IP interne (adresse du NAS). En renseignant ces informations, vous indiquez à la Box que vous ouvrez une porte d’entrée (port) à votre réseau et que cette porte permet d’accéder aux NAS. Par défaut, on indiquera le même port WAN et LAN (ex. : 5001 pour l’interface d’administration Synology)… mais il est tout à fait possible de le changer. Pour notre exemple, seul le port TCP est nécessaire. Aussi, vous pourrez profiter d’un vrai certificat (Let’s Encrypt) à condition de laisser ouverts les ports 80 et 443… ce qui pourrait en freiner quelques-uns.

Notre avis

La méthode nécessite 2 étapes importantes : paramétrage du NAS et de la Box. Elle est un peu plus complexe que la précédente… mais très efficace. Vous êtes complètement indépendant des services Synology. La connexion et les débits sont plus rapides . Elle est à privilégier si vous partagez régulièrement des données avec des personnes extérieures (vos amis et/ou votre famille). Une fois le paramétrage réalisé, l’utilisateur n’a pas de maintenance à faire. Tout est géré automatiquement. Il sera relativement facile d’ajouter ou de retirer des services depuis le Portail de connexion. Les possibilités sont infinies…

VPN, le plus sécurisé

Disposer d’un VPN serveur à son domicile a plusieurs avantages. Il s’agit d’une porte d’entrée à votre réseau personnel. Le VPN est une barrière sécurisée qu’il faudra passer avant de pouvoir accéder à votre réseau/domicile et donc au NAS. Le VPN serveur peut être installé sur le routeur ou Box de votre opérateur. Il peut également être installé sur un autre appareil du réseau comme un Raspberry Pi ou encore sur votre NAS lui-même.

VPN - Synology - 3 méthodes pour accéder à mon NAS de l'extérieur : QuickConnect, DDNS et VPN
pixabay / Danny144

Le VPN va sécuriser l’accès, il va chiffrer les échanges entre votre appareil (ordinateur, smartphone, tablette…) et votre réseau à domicile. En 2021, nous recommandons de préférence WireGuard et OpenVPN. Voici quelques tutos pour vous aider à sa mise en place :

Une fois que vous passez la barrière du VPN, vous pourrez accéder à votre NAS de façon classique avec un identifiant et un mot de passe… comme si vous étiez à votre domicile. À noter qu’il est possible d’accéder au NAS depuis l’interface d’administration Web, depuis les applications mobiles, mais aussi à travers l’Explorateur de fichiers Windows (Réseaux) ou depuis le Finder sur Mac grâce aux protocoles AFP/SMB…

Notre avis

Plus sécurisée, cette méthode est aussi plus complexe à mettre en place. Elle peut nécessiter du matériel supplémentaire (Raspberry Pi) et surtout du temps à l’installation/paramétrage. Au-delà de sa lourdeur lors de la mise en place, l’accès au NAS est restreint par l’usage du VPN… L’utilisateur devra posséder une application supplémentaire sur son périphérique (téléphone, ordinateur, tablette…) pour se connecter au VPN. Donc, le partage de documents (y compris photo, vidéo et musique) avec vos amis ou famille sera plus difficile. Il faudra leur prévoir : un accès au VPN et un accès au NAS. Cette méthode est réservée aux utilisateurs avertis, soucieux de la sécurité.

Conclusion

Il existe plusieurs méthodes pour ouvrir et accéder à son NAS Synology depuis l’extérieur. Nous espérons que l’une d’entre elles répondra à vos besoins. Sachez qu’il est également possible de mêler 2 méthodes : DDNS + VPN. Quel que soit votre choix, il faut garder à l’esprit que l’ouverture d’un NAS expose à des risques. En effet, lorsque votre NAS est inatteignable depuis l’extérieur de votre domicile, il jouit d’une sécurité relative. Dès qu’il est accessible depuis Internet, n’importe qui peut tenter de s’y connecter et/ou d’exploiter une faille de sécurité. Il sera donc important de respecter quelques règles essentielles :

  • Activez le blocage automatique après plusieurs tentatives infructueuses : Panneau de configuration > Protection > Activer le blocage auto ;
  • Désactivez les comptes admin et guest (désactivé par défaut) : Panneau de configuration > Utilisateur et Groupe ;
  • Activez le Firewall sur le NAS : Panneau de configuration > Pare-feu ;
  • Utilisez un mot de passe fort (Longueur de 8 minimum avec minuscule, majuscule, des chiffres, caractères spéciaux…) ;
  • Changez le/les ports par défaut : Panneau de configuration > Portail de connexion (pour le port 5001 par exemple) ;
  • Utilisez le HTTPS plutôt que le HTTP : Panneau de configuration > Portail de connexion et cochez la case Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM ;
  • Mettez à jour régulièrement votre NAS (DSM et applications) ;
  • Faites des sauvegardes régulières

Sans cela, vous vous exposez à plusieurs risques : vol de vos données, suppression d’une partie/totalité de vos fichiers ou encore à une demande de rançon (CryptoLocker). Soyez prudent…

  1. Bonjour,
    Très bon article, comme d’habitude.

    J’ajouterai que pour le DDNS, il faut aussi ajouter le reverse proxy pour limiter les ports ouverts sur l’extérieur.
    Dans mon cas, le 5001 + Drive passe par le reverse proxy. Il n’y a que Hyperbackup qui nécessite un port dédié.
    Pour ce qui est de Plex, je l’ai remplacer par Emby car il fonctionne parfaitement via le reverse proxy.

    Steve

    1. Merci pour l’article, très clair.

      Pour @Steve, ce complément d’information est très intéressant, et j’aimerai en savoir plus sur le sujet (configurer le reverse proxy pour le port 5001 et Drive).
      Cachem, pouvez-vous faire un article sur le sujet ? (ou peut-être existe-t-il déjà, je vais faire une recherche après avoir fini mon message)

      Merci

      1. L’utiliser, meme en local n’est pas une super solution non plus. Il faut au maximum s’affranchir des ports par défaut afin d’éviter toutes les attaques automatisées.

  2. Merci beaucoup pour cet article,

    Une petite piqûre de rappel est toujours nécessaire, surtout dans le domaine de la sécurité informatique, combien de réseaux privés sont de réelles passoires !?
    (Configuration out of the box, plug and play…)

    Pour ma part, j’utilise le DDNS couplé à l’utilisation de reverse proxy, pour éviter d’ouvrir des ports à tout bout de champs.

    Concernant le VPN, le VPN serveur est activé sur mon USG (Unifi), en amont de mon NAS.
    J’utilise mon VPN dans le cadre de sécuriser mon surf lorsque je suis à l’étranger/extérieur (connection wifi, hotel, resto, free wifi…)
    Limité l’accès à mon réseau et NAS uniquement via un VPN apporterait un gros manque de flexibilité, surtout dans le cadre de partages de données ainsi que l’utilisation des applications mobiles (DS)

    J’ai néanmoins une question relative au tuto sur WireGuard, quel est l’intérêt d’utiliser WireGuard, en lieu et place de la fonction VPN serveur déjà embarquée dans l’USG (unifi) ?

    Pour terminer, j’utilise exactement les mêmes recommandations de sécurité mentionnées en fin d’article, on pourrait même y ajouter le filtrage GeoIP.

    Belle journée à tout le monde.

  3. Bonjour,

    Pourriez-vous à l’occasion faire un essai de nConnect (https://nkn.org/products/nconnect/), disponible nativement sur les NAS grands publics ? La solution (https://nkn.org/community/blog/nconnect-for-nas-secure-remote-access-to-files-and-apps/) propose un accès depuis n’importe où, sans redirection de ports, haute vitesse, entièrement cryptée, s’appuyant sur plus de 100,000 noeuds anonymes (https://explorer.nkn.org/).

    Merci et bonne journée !

  4. Bonjour,

    Je ne suis pas partisans du vpn…
    Le vpn ouvre le réseau local distant aux machine qui s’y connecte… Populaire en entreprise, pourtant contre productif en terme de sécurité.

    Un ordinateur itinérant est plus susceptibles d’être corrompu que les poste sédentaire dans l’entreprise sur le réseau local (intranet). Ce qui laisse du coup plus de possibilités a un pirate….

    Le vpn devrait être réservé à des usage très spécifique…

    Je lui préfère un reverse proxy en frontal en HTTPS avec nom de domaine avec tous les services derrière, ddsm compris.

    Cordialement.

  5. Un complément pour le firewall :
    – mettre toutes les règles sur l’interface « LAN »
    – n’ouvrir que les ports strictement nécessaire (80 et 443 si l’on utilise un reverse proxy)
    – restreindre les IP source aux zone géographique minimum (France pour moi + USA pour le certificat let’s encrypt) :
    – refuser l’accès si aucune règle n’est remplie.

    Ce réglage permet d’éviter plus de 90µ des tentatives de connexions.

  6. Bonjour
    Merci pour l’article, comme toujours très complet et très intéressant.
    J’ai une adresse ip dynamique donc actuellement j’utilise un service dynDNS.
    Mais je voudrais utiliser mon nom de domaine (enregistré chez Nuxit) pour qu’il soit redirigé sur mon Syno.
    Je suppose que pour paramétrer le Syno, il faut passer par la personnalisation du fournisseur de service DDNS mais je tombe ensuite sur une fenêtre de paramétrage et je ne sais plus quoi faire…
    Quelqu’un saurait me guider ?
    Merci.
    Olivier

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.